严重警告:

本文内容纯属业余恶搞娱乐,不牵扯任何敏感话题,文章内容真实性无从考证!本站并不赞同文中任何观点;如果读者私自非法传播、转载或进行任何触犯中国法律的行为,后果自负!

恩,我说过会写一篇的,首先是说说常识问题吧,毕竟此文章并不是只给黑阔们看的,争取让小白都能看懂

首先,网络反侦查的最重要目的是隐匿自己的真实身份

这篇文章不会涉及到太多的技术问题,只会先普及一下知识

首先普及一下一些基础词汇:

公网——指国际互联网,即网际网络,比如你能打开百度,谷歌等就是因为百度和谷歌是连接到公网上的网站。

内网——指社内网络,即局域网,比如你在一个公司,公司一般就是内网,学校也是内网。在内网能连接到百度等肯定是有一个交换机把内网流量交换到公网上,否则不能上网。

IP——指网络协议地址,每台计算机上网必须需要有一个IP地址,否则无法连接到网络,而且这个公网IP地址是全球唯一且不可伪造的。

动态IP——简单来说是为了节省IP资源,每次上网IP都是动态分配的,比如这次你的IP是1.2.3.4,拔了猫重新上就是1.2.4.6。这就是动态IP

静态IP——这个IP永远不会变,你这次是1.2.3.4,下次还是1.2.3.4

日志——日志指可以对上网轨迹进行跟踪的一个记录文件,可以根据上网日志查到你上过什么网站,发过什么消息等。

MAC地址——网卡的硬件地址,全世界唯一,理论上不可修改,但是可以修改。

DHCP——给内部网络或网络服务供应商自动分配IP地址的协议,比如你把网线插到路由器上就能上网,就是因为DHCP协议给你分配了IP。

客户端名——即你的设备名称,如iPhone的客户端名默认为 xxx-iPhone, 安卓默认为android-xxxxxxx 电脑的就是你的计算机名,我的电脑,右键点击属性后能看到,大部分情况可根据IP查找你的计算机名。

政府后门——指政府为了政治或其他原因在软件甚至是硬件插入后门,收集信息。通常装机量大的软件如腾讯QQ,迅雷,暴风影音等。

IMEI——指国际移动设备识别码,每个手机必须有一个才能接入运营商网络,理论上不可修改,实际上可以修改。

基站定位——指手机连接到基站后,使用三个基站进行三角定位,原理请看:

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

GSM蜂窝基站定位基本原理浅析

三角定位

我们来看看最近比较火的一个新闻:《发微博被拘少年讲述拘留经历:不后悔》

《发微博被拘少年讲述拘留经历:不后悔》

2013092705265934679

我们来分析一下这个哥们是怎么被查到的吧。

如果我是网监的话,我会用以下思路来查这个人,我们来尝试列出所有可能的侦察方法

方式1:根据实名制微博进行追查,即你在申请微薄的时候实名登记的身份证号,直接上门抓你,你懂的。

方式2:根据IP进行追查

我们来解释下:前面名词已经说过,每个人上网都会有一个公网IP,这个IP是全世界唯一的,不可伪造的。当你发送了一个微博,我相信微博的后台会有如下日志

用户名:XXX 发送内容:我们必须要游行 发送时间:2013-09-26 21:50:20 发送IP:122.226.73.33

但是一般普通人家的ADSL都是动态IP的,有些黑阔小白或者懂一点点电脑的认为干完事断开重连下ADSL就没事了,这是绝对的大错特错!

因为运营商那里有记录:

时间:2013-09-26 操作:宽带连接 用户名:hz057112345678 获取的IP:122.226.73.33

时间:2013-09-26 操作:宽带断开 用户名:hz057112345678

时间:2013-09-26 操作:宽带连接 用户名:hz057112345678 获取的IP:122.226.77.22

类似这样的记录,除非你能保证网络监察不会在一年之内查你,否则还是能查到的,因为运营商只保留大概一年的网络日志【有疑问】

但是此条我有点疑问,因为最近出了个新闻《官员两年之前发了谣言,今天刚被抓》这究竟是早就已经锁定到人了,因为是官员所以没抓,还是刚刚才锁定到人,开抓了?如果真的是刚刚才锁定到人,那么宽带的使用日志可就不止一年了

所以争取不要用自己的网络搞

方式3:根据手机进行追查

现在的微博客户端都会记录用户手机的无线网MAC地址,蓝牙MAC地址,公网IP地址,内网IP地址,手机号码,帐号,时间甚至是GPS信息。而且新浪微博也很贱,动不动就提示要求你手机号认证

我坚信新浪微博后台会有如下记录

用户名:XXX 无线路由器SSID:FUCKGOV-1 无线路由器BSSID:BB-BB-BB-BB-BB-BB 手机IMEI:123123123123123 手机MAC:AA-AA-AA-AA-AA-AA 公网IP地址:122.224.66.123 内网IP地址:10.51.39.210 手机号:13123112312 登录时间:2013-09-26 22:01:36 GPS:北纬XX度 东经XX度

这样定位你就不会太难了,要求运营商进行基站三角定位,大城市误差不超过0.5米。有些记录了GPS信息甚至直接抓你去。

方式4:根据发贴内容查 这样你懂的,你要是直接说 杭州滨江区XX路XX小区XX楼发生了XX事件,直接跟据内容就找到你了。不解释。

方式5:根据自己透露的资料查 你也懂得,您别发了一大堆才反应过来,MLGB的,老子家庭地址直接写资料里了

方式6:走访,假设你一切都做的完美,然后跟朋友装逼,完了,一传十十传百,你废了。

更多方式请看之前发的一篇文章:http://zone.wooyun.org/content/633

这下知道发贴多难了吧?真的以为没有方法破么?方法是有的,但是你需要有个准备:

1.永不在网络上透露自己的个人信息

2.永远不用曾经用真实IP登录过的用户名,网监可以直接百度谷歌你的用户名,要求调取当时的登录IP

3.永远不要向他人透露自己的在网上的身份,尤其是敏感身份

4.能不用手机尽量不用手机登录自己的敏感网络身份(除非研究出来完美防御的方法)

5.永远不要使用真实IP登录自己的敏感身份

6.永远不要在公共计算机登录敏感身份

说实话,我也无法做到第一条,因为我在大概7年之前透露过自己的手机号,唉。还是在百度知道上发的,当时不懂啊,唉。如果我哪天被抓了,很可能是因为第一条。因为通讯公司保留了大概约10年左右的记录,即使你销户了,还是有记录。而且是保存在保险箱里的。唉。

所以干坏事,先开马甲

此章仅为普及知识,真正涉及技术的还没开始.

未完待续,以JJ担保不会太监。

欢迎提问,不喜勿喷。如发生理论/逻辑/常识错误请及时纠正,谢谢支持~

[原帖地址]

严重警告:

本文内容纯属业余恶搞娱乐,不牵扯任何敏感话题,文章内容真实性无从考证!本站并不赞同文中任何观点;如果读者私自非法传播、转载或进行任何触犯中国法律的行为,后果自负!

娱乐吐槽:

1#

juuxdd (<span/>=唱首山歌给D听!) | 2013-09-28 08:04

前排瓜子!花生,水果@

2#Spongebob | 2013-09-28 08:28

2楼

3#made in china (为什么别人@不了我,就因为我带空格吗?) | 2013-09-28 08:35

煎饼果子来一套,加俩鸡蛋,不要辣椒

4#好人 (您已犯破坏计算机信息系统罪,请跟我们走一趟。) | 2013-09-28 09:00

后台这里上

5#核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-09-28 10:31

+10086

6#YY-2012 (坐等oday三百年。。) | 2013-09-28 10:35

某部已经转发500,爆破准备…

7#小泽 | 2013-09-28 10:39

大惊小怪,很多国家都这样

8#Marsevil (?????????????????????????) | 2013-09-28 11:00

习惯就好,很多大国也是如此,有时候并不是不抓你,而是你得危害程度还未值得动用这么多资源

9#鬼魅羊羔 ((#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵) | 2013-09-28 11:00

1.金盾工程关于三个平台建设的项目,某项目(当然了,肯定是关于互联网的)日志保留最低是3个月,根据某些特定要求,保存6个月的也有,3个月不是上限,而是最小值。

2.关于楼主其中一张图中说到查水表的事情。。这个一般情况下是这样的,因为我也经手过一些案件,都是帮人打酱油的,网监所用的取证工具,一般情况下都是类似涉密单位所使用的保密检查工具,别说是7年了,可以查看到自你电脑出厂,到现在的所有上网记录和文件使用记录。包括文件的创建、改写、删除等,这不是危言耸听。。曾经在某保密部门做了近两年的狗腿子。。。一般在查完水表后,如果没有查出任何东西的话,就会在当事人的电脑中植入免杀远控,并监控当事人的一举一动,一旦发现有黑客工具,或者其他证据,就立刻上门抓人,不再通知了。(损吧,,我上个月就遇到这样的损招了,只不过不是抓我)

3.短信内容、通话内容,都是可以进行监听的,这个不需要得到用户许可。。上次有个2货,攻击了人事考试中心,查水表的时候很聪明,工具全在移动硬盘中,本机没有任何痕迹,干净的连虚拟机都没有,但是通过电话监听,对方很是嚣张,说网监肯定不会找到证据,结果电脑被植入了免杀马,短信和电话都进行了监控。。。最后可想而知,得瑟了几下,就被扔进去了。。某些单位权限很大,可以直接调任何人的电话和短信记录,以及监听通信过程,基本没啥秘密可言的。。。

我就是凑凑热闹。。。我什么也没说。。。我什么也不知道。。。因为我还小。。。

10#园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-09-28 11:12

可以转到drops里面去???@瞌睡龙

11#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 11:14

@鬼魅羊羔 总参3部?

12#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 11:20

@鬼魅羊羔 truecrypt怎么办?揍人?

如果是用的usb token的truecrypt,查水表的瞬间销毁了,怎么办~

13#感谢(1)insight-labs (Root Yourself in Success) | 2013-09-28 11:45

@鬼魅羊羔 @safe121

取证工具什么的,原理很简单,基本就是个live cd,把你硬盘分区readonly mount上,然后运行scraper之类的程序在每个扇区找东西。我们这边州警(相当于FBI)用的类似的玩意,在某恐怖粪纸的电脑上的某扇区里找到bomb xxx的字符串(原文件被安全删除过),然后水表自然爆了。为啥文件安全删除过还有残留呢,那就要问微软的NTFS文件系统和MS word还有windows的各种临时文件和虚拟内存文件了。

植入木马这种行为,一般警察是不会用的,因为在我们这边没法作为法庭上的证据了,因为可以辩解说是被警察中马之后放进去陷害的。但是国外的安全部门也会用这招的(仅限于恐怖嫌疑人),呵呵,法庭?什么法庭,直接送关塔那摩了……

但是在天朝,证据不证据这种事……呵呵……

我现在已经很少用windows了,qq都是linux下面虚拟机里开的。linux系统全部lvm 加密,没密码连分区都加载不了,重要文件在系统里面还有truecrypt的虚拟卷加密。

植入远控什么的,哪天碰到高手,直接挖出来逆向,估计网监自己的远控服务器都要被端了。参见国外某公司日国家队poison ivy服务器的报告。

14#xsser (十根阳具有长短!!) | 2013-09-28 11:48

@insight-labs 外国人你好啊

15#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 12:00

我用的双系统,linux+windows

windows不加密,跟同学啥的聊天用的,改过MAC地址。

linux的180多位的密码加密,home目录也有40多位的密码~

用grub启动,grub启动列表默认隐藏并进入windows~

16#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 12:01

@insight-labs 14#

17#ACGT | 2013-09-28 12:08

以前都是弄两个韩国肉鸡开socks5 server做个proxychain,看来有必要换成shadowsocks了

18#Anymous | 2013-09-28 12:09

恐怖啊。。。

19#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 12:13

@ACGT 也不行的,就像之前的朽木

用自己电脑日了A号肉鸡,然后日了B号肉鸡,然后自己链接A号再链接B号,然后日站被抓了

why?

因为用自己电脑日了B号肉鸡,WJ出口记录里有IP 213.213.213.213 日了B号,然后直接定位。。

20#safe121 (--黑阔娱乐群:328034840) | 2013-09-28 12:14

@insight-labs 话说你在哪个国家?有机会找你去~

21#insight-labs (Root Yourself in Success) | 2013-09-28 13:30

@safe121 袋鼠国…

22#insight-labs (Root Yourself in Success) | 2013-09-28 13:31

@ACGT socks5可是明文的…

23#insight-labs (Root Yourself in Success) | 2013-09-28 13:41

@safe121 100多位密码没必要,硬盘加密的key都是hash,比如sha256之类的,你密码长度大于256bit不会增加安全性,自己输得时候麻烦

24#乌帽子 (儿啊,到大城市切莫乱搞女人啊,染上什么病回来传染给) | 2013-09-28 13:51

期待(三)

25#komas | 2013-09-28 14:57

隐藏自己还是多需要研究研究

26#erevus (我的乌云币都在小号上,小号不是绑定我QQ,别盗我号) | 2013-09-28 15:35

@鬼魅羊羔 电话监听的录音不是不可以作为证据么

27#ACGT | 2013-09-28 15:52

@insight-labs 我知道,但是我本地的ISP的设备只记录tcp头 http头,不记录封包内容...

28#insight-labs (Root Yourself in Success) | 2013-09-28 16:25

@ACGT gfw是可以分析socks5里面的内容的……

29#insight-labs (Root Yourself in Success) | 2013-09-28 16:25

@erevus 机器上都放上远控了,要啥证据直接传上去就行了……

30#淡漠天空 (路人的世界) | 2013-09-28 16:50

@ACGT tcp头 http头

31#淡漠天空 (路人的世界) | 2013-09-28 17:59

@safe121 3部貌似可以直接给习总通电 不过重要的是 乌云不止有3部 请允许我呵呵五个字

32#鬼魅羊羔 ((#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵) | 2013-09-28 18:20

@erevus 不是用来当证据的,录音用处有很多,比如说吓唬法盲。。还有,就是通过电话监听获知一些敏感信息。。一般网监不会用,上次我遇到那事儿,是逼得没办法了。电脑上查不到任何东西。。只能寄希望与他自己泄密了。。。。

33#鬼魅羊羔 ((#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵) | 2013-09-28 18:22

@safe121 不是不是。。。

34#鬼魅羊羔 ((#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵) | 2013-09-28 18:23

毕竟WJ这种行当,所谓的证据,无外乎就是各种威胁恐吓,证据就有了一部分。。

35#insight-labs (Root Yourself in Success) | 2013-09-28 18:28

@鬼魅羊羔 所以说心理素质要过硬啊…

36#Skull ((?data;)) | 2013-09-28 19:24

妈的,害我不敢用什么东西了。

37#Skull ((?data;)) | 2013-09-28 19:25

@safe121 求wb安慰啊

38#西毒 | 2013-09-28 19:26

白金数据...........知者自明

严重警告:

本文内容纯属业余恶搞娱乐,不牵扯任何敏感话题,文章内容真实性无从考证!本站并不赞同文中任何观点;如果读者私自非法传播、转载或进行任何触犯中国法律的行为,后果自负!

相关内容:

全方位在互联网中保护自己第三章(知识普及篇—了解网监的实力与暗箭(下)

全方位在互联网中保护自己第一章(知识概念篇第一部分)

全方位在互联网中保护自己第五章(国产软件或后门软件的替代品(中))

全方位在互联网中保护自己第四章(国产软件或后门软件的替代品(上))

全方位在互联网中保护自己第二章(知识普及篇第二章-了解网监的实力与暗箭(上))

注意,日站的时候请清理cookie或使用虚拟机,否则可被cookie追踪

如何看两个ip是不是在一个机房,路由追踪

逆向追踪之:网站被挂淘客跳转以后发生的事情

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

为抓小偷 俄警方在地铁安装能读取乘客手机信息的设备,这是啥技术?

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!

保护自己之手机定位信息收集

请教关于手机IMEI定位的问题

刚刚看到个鱼站,然后就被轮流爆菊了……

一张随意拍摄的波士顿马拉松比赛照片,如何帮助FBI破案

我们是如何通过一张照片定位到疯狗位置的

使用电视棒接收飞机信号 简单的实现方法

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

上来吐个槽,再次侦破一宗牵扯到全国多个大型医疗集团的恶性案件!

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!

支付宝木马爆菊过程总结帖【附源码】

接上一章节,支付宝木马,后续情节【2】

接上一章节,支付宝木马,后续情节

360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花

一种猥琐方式的对攻击者定位(观315有感)

揭秘诈骗千万人民币的团伙及具体位置分析

核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!

接着核总的《打击钓鱼,人人有责》之后的故事...

打击钓鱼,人人有责……

【跟风贴】XSS挖出一个黑产团体

XSS挖出一个黑产团体

陌陌猥琐流定位妹纸精准位置 有图有真相 + 安卓工具

追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!

服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码

耍了一个发给我网购木马的骗子~~

关于手机的隐私保护。。

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者

看新闻学知识之手机千里追回

西安丢iPhone定位在北京民警辗转2400公里追回

定位GFW的python脚本,如何找到GFW设备的IP地址

东京大学加密招生海报解密过程(内含妹子)

视频:神奇的读心大师 网上有你的整个人生 利用社工+人肉来做神棍……

《魔兽世界》截屏数据水印惊现用户私人数据 截图隐藏水印 暗含玩家信息

简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例

找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置

【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

福布斯:IE10“禁止追踪”扼杀网络广告市场

任何一种装机量巨大的软件,都有政府监控模块,我们应该如何保护自己?

黑客考虑发射通讯卫星对抗全球互联网监管

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

不要偷黑客的东西 - Why you don't steal from a hacker

黑客的新目标:泄密其他黑客资料

苹果iPhone和谷歌Android手机被曝"定位"用户

入侵者必读, 网警、公安是如何找到你的!

某人肉搜索的典型案例分析 一群推理神牛

留言评论(旧系统):

佚名 @ 2013-12-20 09:56:04

装个干净的系统,买个大功率网卡,修改mac,在远一点的地方收wifi,开始xxxxxx,,,,,办完事后再改回mac,可行否

本站回复:

无论是从实用性(很重要)还是安全性,都不可行。

佚名 @ 2014-06-08 15:04:17

乌云怎么注册啊?

本站回复:

http://www.wooyun.org/user.php?action=register

大侠 @ 2014-06-26 16:13:24

请问有什么办法可以查到网站是在哪里购买的服务器,有没有像WHOIS查域名那样去查服务器的注册信息

本站回复:

IP反查网站接口 旁站查询 IP查域名 域名历史解析记录查询 IP地址查机房AS号: http://lcx.cc/?i=3447 http://bgp.he.net/,IP地址查对应机房:IP地址在 bgp.he.net 直接能查到IP所属机房或运营商的AS号。

佚名 @ 2015-04-22 10:37:33

站长招收徒弟吧?

本站回复:

不收。